# クイックスタートガイド ![](https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2Fgit-blob-36b3a6b0723908c08eec9ce1e347effef53f793f%2Fsm-overview%20\(2\).png?alt=media) ## 概要 以下の動画でもシークレットマネージャーの設定手順をご覧いただけます。 {% embed url="" %} ## 要件 ### Keeperビジネスライセンス シークレットマネージャーはビジネスアカウントで使用できます。まだKeeperをご利用でない場合は、弊社のウェブサイトから[無料トライアル](https://www.keepersecurity.com/trial/keeper-free-trial/)をご利用ください。 ### ワークステーション側の要件 * [Python](http://www.python.org/downloads) (3.6以降) をインストールできること * PIPバージョン21以降 (Pythonに含まれています) * [KeeperコマンダーCLI](https://docs.keeper.io/jp/keeperpam/commander-cli/overview) ([ログイン](https://docs.keeper.io/jp/keeperpam/commander-cli/commander-installation-setup/logging-in)できること) ## はじめに まず、Keeperアカウントのシークレットマネージャーを有効にします。 ### シークレットマネージャーの有効化 Keeperシークレットマネージャーの試用版を有効にするには、管理コンソールにログインし、**\[Secrets Manager]** をクリックします。 {% hint style="info" %} 以下のリンクから、Keeper管理コンソールにアクセスしてください。\ \ US: \ EU: \ AU: \ CA: \ JP: \ US\_GOV: (または[KeeperSecurity.com](https://keepersecurity.com) > **\[ログイン]** > **\[管理コンソール]** を開きます。) {% endhint %} ![無料トライアルの開始](https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2Fgit-blob-64ee8cabd1574ca153de2d13ad1a22f0697457d0%2FScreen%20Shot%202022-01-07%20at%201.28.07%20PM.png?alt=media) ### ロールの作成 シークレットマネージャーユーザーが使用するKeeperアカウントのロールを作成します。 管理者アカウントのロールは、管理コンソールで作成できます。 **\[ロールを追加]** をクリックして新しいロールを作成し、「シークレットマネージャー」など、任意の名前を付けます。 ![Keeperロールの追加](https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2Fgit-blob-d1308dc98da1e95966ba1981b84621ab3dda7769%2Fadd%20role.png?alt=media) ### ロールのシークレットマネージャーを有効化 強制適用ポリシー設定画面で、ロールからアプリケーションへのアクセスを有効にします。 1. ロールを選択します。 2. 強制適用ポリシーを開きます。 3. Keeperシークレットマネージャータブを選択します。 4. Keeperシークレットマネージャーのポリシーを有効にします。

ロールポリシーでシークレットマネージャーを有効にする

## シークレットマネージャーをセットアップ ここでは、Keeperシークレットマネージャーを使用してシークレットにアクセスするために、**シークレット**の設定、**アプリケーション**の作成、**クライアント**の設定を行います。 KeeperボルトまたはKeeperコマンダーを使用して、シークレットマネージャーを設定できます。 以下では、Keeperボルトを使用して設定する手順となります。コマンダーCLIの手順については、[本ページの下部](#keeperkomandcliwoshite)をご参照ください。 ### シークレットの作成 {% hint style="info" %} シークレットは、Keeperボルトにレコードとして保存され、通常はレコードの添付ファイルとして、またはフィールドに保存されます。 {% endhint %} シークレットマネージャーのシークレットについて、詳しくは[こちらのページ](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/about/terminology/README.md#secret)をご参照ください。 Keeperウェブボルトまたはデスクトップアプリのユーザーインターフェースで共有フォルダを作成し、シークレットをそのフォルダに追加します。 #### 共有フォルダの作成 **\[新規作成]** をクリックし、**\[共有フォルダ]** を選択します ![Keeperボルトの新規作成ボタン](https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2Fgit-blob-d08a5c168014535afe7b63f0cacea5acdcac3bf9%2Fcreate%20new.png?alt=media) ![シークレットを格納する共有フォルダを作成](https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2Fgit-blob-8581e678b5ec50342f41f2ee7d7572d45d7f70b8%2Fcreate%20new%20shared%20folder%20highlighted.png?alt=media) 名前を入力し、**\[作成]** をクリックして共有フォルダを作成します。 ![新しい共有フォルダに名前を付けて作成](https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2Fgit-blob-8e941c44678821fe7c5bb6936b33fbd4b7802fd2%2Fshared%20folder%20form.png?alt=media) 新しい共有フォルダを選択した状態で **\[新規作成]** ボタンをクリックし、**\[レコード]** を選択して共有フォルダ内に新しいレコードを作成します。 ![新規作成のリストから「レコード」を選択](https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2Fgit-blob-22d082416efa09a3c7e8f9a72cdf730d9d4d3636%2Fcreate%20new%20record%20highlighted%20\(2\).png?alt=media) ### シークレットマネージャーのアプリケーションの作成 シークレットは、レコードまたは共有フォルダとしてアプリケーションで共有されます。アプリケーションでは、クライアントデバイス、アクセス権限、監査証跡、履歴を管理します。シークレットマネージャーのアプリケーションについて、詳しくは[こちらのページ](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/about/terminology/README.md#application)をご参照ください。 Keeperボルトでシークレットマネージャータブに移動すると、シークレットマネージャーアプリケーションの一覧が表示されます。**\[アプリケーションの作成]** をクリックします。 ![シークレットマネージャータブ](https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2Fgit-blob-d9966da878149fcbb1b5c23aaeecb23fb9184127%2FSM%20tab.png?alt=media) ![シークレットマネージャーアプリケーションの新規作成](https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2Fgit-blob-a53fcbb8f64a5afcc4759fea76ac5505cfb852c2%2Fcraete%20app.png?alt=media) 新しいシークレットマネージャーのアプリケーションの名前を入力します。 ![シークレットマネージャーアプリケーションの名前を入力](https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2Fgit-blob-7554f60bf122002fd446544d390718e6b0e00432%2Fapp%20form%20name%20only%20\(1\).png?alt=media) 次に、新しいアプリケーションに共有する共有フォルダを選択します。 アプリケーションからはここで選択したフォルダ内のレコードにしかアクセスできません。 ![アプリケーションがアクセスできる共有フォルダを選択](https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2Fgit-blob-0fc5fd5a548da9bb6091c275f452f00aa0d1cb1a%2Fapp%20form%20choose%20folder.png?alt=media) アプリケーションにボルトのレコードへの読み取り専用アクセス権または書き込みアクセス権を付与することもできますし、最初のシークレットマネージャークライアントデバイスがシークレットマネージャーにアクセスした際の最初のIPアドレスに固定するか否かも選択できます (クライアントデバイスの詳細については後述します)。 ![入力済みの「アプリケーションの追加」フォーム](https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2Fgit-blob-47f2958bc22cfce410ee810a26bae1e5e213e037%2Fapp%20form%20filled%20\(1\).png?alt=media) **\[アクセストークンの生成]** をクリックしてアプリケーションを作成すると、最初のシークレットマネージャークライアントデバイスが自動的に作成されます。 ### シークレットマネージャークライアントデバイスの作成 クライアントデバイスとは、アプリケーションに関連付けられたシークレットにアクセスする必要がある任意のエンドポイントを指し、物理デバイス、仮想デバイス、クラウドベースのデバイスが含まれます。シークレットマネージャークライアントデバイスについて、詳しくは[こちらのページ](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/about/terminology/README.md#client-device)をご参照ください。 Keeperボルトにシークレットマネージャーアプリケーションが作成されると、シークレットマネージャークライアントデバイスも作成されます。 クライアントデバイスが作成されると、ワンタイムアクセストークンが生成されて表示されます。このワンタイムアクセストークンは、本ページの後半で必要になります。後ほど使用するためにトークンをコピーまたはダウンロードしておきます。 ![クライアントデバイスの作成時に生成されるワンタイムアクセストークン](https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2Fgit-blob-be875baac3a773b8d28cb513ef973cf89279036c%2Fdevice%20form%20one%20time%20token.png?alt=media) {% hint style="info" %} ダイアログを閉じると、ワンタイムアクセストークンが再び表示されることはありません。 新しいクライアントデバイスを作成すると、いくつでもトークンを生成できます。 {% endhint %} #### クライアントデバイスの追加作成 (任意) シークレットマネージャーアプリケーションを作成すると、そのアプリケーションに対してさらにクライアントデバイスを追加で作成できます。 追加のクライアントデバイスとワンタイムアクセストークンを作成する手順については、[こちらのページ](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/about/one-time-token/README.md#with-an-existing-application)をご参照ください。 {% hint style="success" %} シークレットマネージャーの設定が終わり、使用できるようになりました。 {% endhint %} ## シークレットを閲覧 次に、シークレットマネージャーCLIを使用して、シークレットマネージャーで共有されているKeeperボルトのシークレットを閲覧します。 シークレットマネージャーには、[各種言語のSDK](https://docs.keeper.io/keeperpam/secrets-manager/developer-sdk-library)と、シークレットへのアクセスに使用できる、多くの[組み込み済みの統合機能](https://docs.keeper.io/keeperpam/secrets-manager/integrations)があります。 この例では、[シークレットマネージャーCLI](https://docs.keeper.io/keeperpam/secrets-manager/secrets-manager-command-line-interface)ツール (`ksm`) を使用して、Keeperボルトからシークレットを取得して表示します。 ### **シークレットマネージャーCLIのインストール** #### バイナリリリースを使用したインストール 最新のバイナリリリースは、[GitHubリポジトリ](https://github.com/Keeper-Security/secrets-manager/releases?q=cli\&expanded=true)で入手できます。ご利用のオペレーティングシステムに合わせてインストーラーをダウンロードし、クリックしてインストールまたは解凍して使用します。その他のインストール方法については[こちらのページ](https://docs.keeper.io/keeperpam/commander-cli/commander-installation-setup)をご覧ください。 WindowsまたはMac OSでUIを使用してCLIを起動すると、CLIはシェルモードで実行されます。`ksm`コマンドは、コマンドラインから引き続き利用できます。 Linuxバイナリは単なる実行ファイルなので、**PATH**の通ったディレクトリに移動する必要があります。 #### pip3とPython3を使用したKSMのインストール pip3とPython3を使用してインストールする場合は、以下のコマンドを使用します。 ``` sudo pip3 install --upgrade pip sudo pip3 install keeper-secrets-manager-cli ``` pip3がシステムにインストールされていない場合は、Python3をインストールします。yumを使用する場合は、以下のようになります。 ``` sudo yum install python3 ``` ### KeeperシークレットマネージャーCLIをシークレットマネージャーアプリケーションに接続 上記で取得したワンタイムアクセストークンを使用して、シークレットマネージャーCLIを初期化します。 ``` ksm profile init --token PASTE_TOKEN_HERE ``` {% hint style="warning" %} KSMプロファイルが正常に初期化されない場合は、ワンタイムアクセストークンが失効している可能性があります。 [新しいクライアントデバイスを作成](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/about/one-time-token/README.md#with-an-existing-application)し、新しいワンタイムアクセストークンを生成してみてください。 {% endhint %} ### シークレットにアクセス シークレットの一覧を閲覧するには、`ksm secret list` コマンドを使用します。 ``` ksm secret list ``` CLIにシークレットマネージャーアプリケーションで共有されるシークレットの一覧が表示されます。 {% code title="Example output" %} ``` UID Record Type Title ----------------------- -------------------- --------------- bf3dg-99-JuhoaeswgtFxg login My Secret 3FXqmP5nFKwju0H8pl0DmQ databaseCredentials MySQL Credentials ``` {% endcode %} {% hint style="info" %} シークレットマネージャーCLIの詳細な使用方法については、[こちらのページ](https://docs.keeper.io/keeperpam/secrets-manager/secrets-manager-command-line-interface)をご参照ください。 {% endhint %} ## 完了 :tada:**おめでとうございます。これで基本設定は完了です。** ### 次の手順 * シークレットマネージャーチームとお客様の用途ついて話し合う時間を設定します。 * [SDK](https://docs.keeper.io/keeperpam/secrets-manager/developer-sdk-library)を使用したKeeperシークレットマネージャーとお客様のソフトウェアとの連携について確認します。 * [シークレットマネージャーCLI](https://docs.keeper.io/keeperpam/secrets-manager/secrets-manager-command-line-interface)の詳細を確認します。 * [統合機能](https://docs.keeper.io/keeperpam/secrets-manager/integrations)を使用したCI/CDシステムからシークレットへのアクセスについて確認します。 ご不明な点がございましたら、までお問い合わせください。 ## KeeperコマンダーCLIを使用して設定 Keeperボルトの代わりにKeeperのコマンドラインツールであるコマンダーを使用して、シークレットマネージャーを設定することもできます。 以下はその手順となります。 インストール手順については、[こちらのページ](https://docs.keeper.io/keeperpam/commander-cli/commander-installation-setup)をご参照ください。 ### ロールのシークレットマネージャーを有効化 コマンダーを使用してKeeperロールのシークレットマネージャーを有効にしなければならない場合があります。 その場合は、以下のコマンドを実行します。 ``` enterprise-role "Keeper Admin" --enforcement "ALLOW_SECRETS_MANAGER:True" ``` {% hint style="info" %} 「Keeper Admin」を、シークレットマネージャーを有効にしたいロールの名前に置き換えます。 {% endhint %} ### シークレットの作成 {% hint style="info" %} シークレットは、Keeperボルトにレコードとして保存され、通常はレコードの添付ファイルとして、またはフィールドに保存されます。 {% endhint %} シークレットマネージャーのシークレットについて、詳しくは[こちらのページ](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/about/terminology/README.md#secret)をご参照ください。 `keeper shell` と入力してKeeperコマンダーを実行し、Keeperで使用しているメールアドレスでログインします。 ``` $ keeper shell _ __ | |/ /___ ___ _ __ ___ _ _ | ' login me@company.com ``` ログイン後 * シークレットを作成します。 * 共有フォルダを作成します。 * シークレットを共有フォルダに移動します。 以下はコマンドの例です。 ``` My Vault> add --login admin --pass "46$$62512%Rd1" --url "192.168.1.1" -t "My Secret" My Vault> mkdir -sf -a "DevOps Secrets" My Vault> mv "My Secret" "DevOps Secrets" ``` ### シークレットマネージャーアプリケーションの作成 {% hint style="info" %} シークレットは、レコードまたは共有フォルダとしてアプリケーションで共有されます。アプリケーションでは、クライアントデバイス、アクセス権限、監査証跡、履歴を管理します。 {% endhint %} シークレットマネージャーのアプリケーションについて、詳しくは[こちらのページ](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/about/terminology/README.md#application)をご参照ください。 以下の例では、`XXX` をボルトの共有フォルダのUIDまたはレコードUIDに置き換えます。 ``` My Vault> secrets-manager app create MyApplication My Vault> secrets-manager share add --app MyApplication --secret XXX ``` {% hint style="info" %} Keeperコマンダーからも、シークレットマネージャーの多くの操作を実行できます。シークレットマネージャーコマンドの使用方法については、[こちらのページ](https://docs.keeper.io/jp/keeperpam/commander-cli/command-reference/secrets-manager-commands)をご参照ください {% endhint %} ### シークレットマネージャークライアントデバイスの作成 {% hint style="info" %} クライアントデバイスとは、アプリケーションに関連付けられたシークレットにアクセスする必要のある任意のエンドポイントを指し、物理デバイス、仮想デバイス、クラウドベースのデバイスが含まれます。 {% endhint %} シークレットマネージャークライアントデバイスについて、詳しくは[こちらのページ](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/about/terminology/README.md#client-device)をご参照ください。 デバイスの初期化に使用するワンタイムアクセストークンを生成するクライアントデバイスを作成します。 ``` My Vault> secrets-manager client add --app MyApplication Successfully generated Client Device ==================================== One-Time Access Token:US:4d8THSdmLZOeqZubMNqKWKcrgh7SyQiAQ9afVI0IL0I IP Lock:Enabled Token Expires On:2021-08-26 12:03:23 App Access Expires on:Never ``` #### クイックスタートガイドを続行 {% hint style="success" %} シークレットマネージャーの設定が終わり、使用できるようになりました。 {% endhint %} これ以降は[上記の手順](#access-secrets-with-secrets-manager)に従い、シークレットマネージャーを使用してシークレットにアクセスします。